HackerNews 编译，转载请注明出处： 微软日前发布了紧急安全更新，用于修复一个已在野外被积极利用的Office零日漏洞，该漏洞编号为CVE-2026-21509，影响Office 2016至2024多个版本以及Microsoft 365 应用。 该漏洞属于安全机制绕过类型，波及Microsoft Office 2016、Office 2019、Office LTSC 2021、Office LTSC 2024以及企业版Microsoft 365 Apps。 根据微软的安全公告，漏洞成因在于“Microsoft Office的一项安全决策依赖了不可信的输入，使得攻击者能够借此在本地绕过安全防护。”公告确认该漏洞已被在野利用，并指出：“攻击者需要向用户发送恶意Office文件并诱使其打开。” 本次更新修复了一个可绕过Microsoft 365和Office中OLE安全保护的缺陷，该缺陷会将用户暴露于存在漏洞的COM/OLE控件。 微软已确认Office的预览窗格不受此漏洞影响，且无法作为攻击入口。不过，该公司并未披露关于利用此漏洞的攻击的技术细节。 微软正在努力解决Microsoft Office 2016和2019中的该漏洞，并宣布将尽快发布安全更新。 微软也提供了临时缓解方案以降低风险： Office 2021及更高版本在重启应用程序后，可通过服务端修复自动获得保护。 对于Office 2016和2019版本，用户需要等待并安装即将发布的安全更新，或者立即手动修改注册表来禁用存在隐患的COM/OLE控件。具体操作涉及添加特定的COM 兼容性注册表项，并在其中设置兼容性标志DWORD值。微软提醒，在修改注册表前务必进行备份，修改后需重启Office应用程序才能使防护生效。   消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 确认已修补设备仍遭 FortiCloud 单点登录功能攻击 与近期出现的 FortiCloud 单点登录漏洞类似，这些攻击绕过了身份验证。 Fortinet 周四证实，近期的攻击正在绕过已完全修复近期漏洞的设备上的 FortiCloud 单点登录身份验证。 Arctic Wolf 本周警告称，黑客正利用自动化手段，修改FortiGate 防火墙的配置，以添加新用户账户、启用VPN访问权限并窃取设备配置文件。 该公司指出，此次新的攻击活动与 2025 年 12 月针对 CVE-2025-59718 和 CVE-2025-59719 的攻击相似。这两个高危漏洞影响了 FortiOS、FortiWeb、FortiProxy 和 FortiSwitch Manager 设备的 FortiCloud SSO 登录功能。 Fortinet在 12 月初发布了针对这两个漏洞的修复程序，并警告称，黑客可能利用精心构造的 SAML 响应消息，在启用了 FortiCloud SSO 登录功能的实例上绕过身份验证。 Fortinet于周四证实了先前业界的担忧：即使设备已针对 CVE-2025-59718 和 CVE-2025-59719 打过补丁，攻击仍然能够成功。 Fortinet表示：“我们已确认多起案例，受攻击的设备在遭袭时已完全升级到当时的最新版本，这表明存在一条新的攻击路径。” 该公司补充道：“需要注意的是，虽然目前仅观察到针对 FortiCloud SSO 的利用，但此问题适用于所有 SAML SSO方式。” Fortinet表示正在制定修复方案，但尚无法分享其可用性的具体细节。 该公司已共享了入侵指标，以帮助客户排查其设备上的恶意活动。 建议各组织阻止从互联网对边缘设备进行管理访问，并将其限制在本地 IP 地址范围内。 Fortinet指出：“作为一项额外的临时缓解措施，我们建议禁用 FortiCloud SSO 功能。这将防止通过此方法被突破，但无法防范第三方 SSO 系统，因此建议仅在与本地入站策略结合使用时采取此措施。”       消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  欧盟全新的全球漏洞编号分配系统正式上线运行。该系统为欧洲网络安全从业者提供了一个替代方案，以应对美国主导的 CVE 项目可能因资金不足而停摆的潜在风险。 该漏洞预警数据库项目，自 2025 年 4 月启动筹备，并于同年 5 月与欧盟漏洞数据库（EUVD）一同对外公布，最终在 2026 年 1 月 7 日正式面向公众开放。 该系统的核心目标是终结欧洲对美国漏洞数据库的依赖，强化欧洲数字主权。 Closed Door Security首席执行官威廉・赖特表示，GCVE 项目的落地，无论对欧盟本土还是全球的科技与网络安全行业而言，都是一项积极举措。 他指出：“倘若美国政府运营的 CVE 项目突然终止，整个行业将陷入混乱…… 公共与私营部门会因急于寻找替代方案而陷入信息盲区，这将给威胁攻击者留下巨大的可乘之机。” 赖特补充道：“尽管我们期望 CVE 项目能够持续运营，但拥有一个替代方案，将从整体上提升网络与科技领域的抗风险能力。”  对标米特雷 CVE 系统的去中心化替代方案  面向公众开放的 GCVE 系统，是由卢森堡计算机事件响应中心主导推出的去中心化漏洞追踪平台。 据 GCVE 官网介绍，这个以漏洞编号分配为核心的框架，最大的独特性在于它是真正意义上的“社区驱动型项目”。该平台整合并关联了来自 25 个公共数据源的漏洞信息，其中就包括米特雷公司运营的 CVE 项目。 官网指出：“通过整合来自去中心化发布方及现有漏洞数据库的数据，GCVE 有助于减少漏洞信息碎片化问题，提升全球漏洞态势的整体可见度。” 安全分析人士表示，欧盟推出这一系统，也是为了降低单一全球漏洞基础设施依赖所带来的风险。 整合 25 个公共数据源的 GCVE 平台 赖特进一步提及，外界对现有 CVE 项目的漏洞收录效率的担忧正在不断加剧。 他表示：“目前有大量漏洞等待在 CVE 平台上进行集中验证和收录，部分观点认为，米特雷公司已难以跟上当代威胁环境的演变速度与规模。” 赖特解释称，这款全新的去中心化系统设计之初就考虑了与 CVE 系统的交叉兼容性——“它能够整合并标准化来自多个数据源的信息，授权指定的 GCVE 编号机构（GNA）自主完成漏洞信息的记录与发布，无需经过中央机构审批。” 他补充道：“我们期望这一机制能够加快漏洞信息的记录流程，提升流程的稳健性，帮助政府与企业更快速地应对高危安全威胁。” 资金担忧催生欧洲自主方案 尽管欧盟漏洞数据库已在欧盟网络安全局的推动下研发近一年，但 GCVE 与 EUVD 两大数据库几乎同期落地，这一时间节点并非偶然。 2025 年 4 月 16 日，美国国土安全部在最后时刻才续签了美国本土 CVE 项目的资金，这一举措引发了全球首席信息安全官的恐慌 —— 他们高度依赖这个实时更新的数据库来保障自身机构的安全。 美国国家标准与技术研究院主导的行业标准漏洞编号项目，是由联邦政府资助、米特雷公司负责运营的项目。米特雷是一家非营利网络安全机构，总部位于华盛顿特区郊野及马萨诸塞州。 通用漏洞披露 CVE 数据库通过集中化管理，对已公开披露的安全漏洞进行识别、定义与分类编目，帮助信息技术团队及时掌握高危威胁动态及相应的修复方案。 这套统一的漏洞编号规则、严重程度分级标准以及详细的漏洞描述，能够助力各类机构及全球各地的从业者，实现专业技术信息的高效互通。 正因如此，为避免未来可能出现的服务中断风险，欧洲网络安全领域的负责人决定开发自主的替代系统。 除了支持批量开放数据下载及离线分析外，这个由欧盟资助的数据库还设立了专属的GCVE 编号机构。这些机构 “有权自主分配和发布漏洞标识符，同时通过通用协议与最佳实践，确保与其他系统的互操作性”。 兼容性问题仍存争议 不过，尽管 GCVE 系统有助于降低全球对美国 CVE 项目的依赖，Talion威胁情报主管娜塔莉・佩奇指出，欧盟的这套数据库系统 “应致力于实现与美国 CVE 项目的兼容，采用相似的术语体系与评级标准”。 她强调，该系统的目标 “不应是给各机构的漏洞追踪工作造成困扰，或是导致与 CVE 体系的脱节”。 GCVE 的定位并非彻底取代米特雷的 CVE 项目，而是在未来若因资金问题或政治因素，导致全球漏洞追踪服务面临中断风险时，为欧洲提供一个备选方案。 GCVE 官网表示：“通过授权 GNA 及其他发布方自主贡献数据，同时实现全球范围内的数据关联，GCVE 旨在减少漏洞管理体系中的单点故障，推动漏洞管理领域的创新发展。” 消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare 已修复其 ACME 验证逻辑中的一项漏洞，该漏洞可能允许攻击者绕过安全检查并访问受保护的源站服务器。 Cloudflare 表示，其 ACME HTTP-01 验证流程中存在缺陷，问题出在Cloudflare 边缘节点对 /.well-known/acme-challenge/ 路径请求的处理方式上。该公司称，未发现该漏洞被恶意利用的迹象。 ACME 是一种用于让证书颁发机构验证域名所有权的协议。在 HTTP-01 验证方式下，CA 会访问一个包含一次性令牌的特定 URL；如果返回内容匹配，即可签发证书。按设计，该过程只应允许访问这一精确路径，而不能访问其他任何资源。 漏洞是如何被发现的 研究人员在测试部署在 Cloudflare 之后、且 WAF 仅允许特定来源访问的应用时发现，对/.well-known/acme-challenge/{token}的请求绕过了 WAF，并直接到达源站服务器。 在演示主机上的测试证实了这一行为： 对普通路径的访问会返回 Cloudflare 的拦截页面； 而对 ACME 路径的访问，即使没有真实的令牌，也会返回由源站生成的响应。 研究人员通过自定义主机名创建了一个稳定、处于待验证状态的 HTTP-01 令牌，从而能够在全球范围内可靠地测试 WAF 的行为。 潜在风险与影响 当 Cloudflare 的 WAF 允许 /.well-known/acme-challenge/... 路径绕过防护时，信任边界从 WAF 转移到了源站。演示应用显示了由此带来的多种风险，包括： Spring / Tomcat 端点泄露敏感的环境变量 Next.js SSR 页面暴露运行和运维细节 PHP 路由因本地文件包含漏洞暴露文件 此外，账户级 WAF 规则在该路径上被忽略，使基于请求头的攻击成为可能，例如 SSRF、SQL 注入和缓存投毒。 Cloudflare 已于 2025 年 10 月 27 日 修复该问题，恢复了对该路径的一致性 WAF 防护。 研究人员的警告 安全研究机构 FearsOff 在报告中指出： “当用于检查请求头的 WAF 规则被跳过时，许多漏洞类型就重新获得了通往源站的通道：例如遗留代码中基于请求头的 SQL 拼接、通过 X-Forwarded-Host 或 X-Original-URL 实现的 SSRF 和主机混淆、当缓存因请求头变化而产生的缓存键投毒、利用 X-HTTP-Method-Override 的方法覆盖技巧，以及通过自定义请求头触发的调试开关。显而易见的问题是——还有多少应用对请求头的信任程度超出应有范围？又有多少应用依赖 WAF 来充当这种信任与互联网之间的防线？” AI 时代下的 WAF 绕过风险 报告还强调，随着 AI 驱动攻击的发展，这类 WAF 绕过漏洞的危险性正在上升。AI 能够迅速发现并利用暴露的路径，将多个小漏洞串联成大规模攻击。与此同时，防御方也在使用 AI 进行攻击模拟和防御部署，使强健、全面的 WAF 防护变得愈发关键。 报告总结称： “在 AI 驱动攻击不断演进的背景下，这类 WAF 绕过漏洞显得尤为紧迫。由机器学习驱动的自动化工具可以快速枚举并利用诸如 /.well-known/acme-challenge/ 这样的暴露路径，在大规模环境中探测特定框架的弱点或配置错误。” 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoom 已修复一个严重安全漏洞（编号 CVE-2026-22844），该漏洞可能导致远程代码执行。 云端视频会议与在线协作平台 Zoom 发布了安全更新，修复了多个漏洞，其中包括存在于 Zoom Node 多媒体路由器中的命令注入漏洞。该漏洞编号为 CVE-2026-22844，CVSS 评分高达 9.9，攻击者可借此在远程执行任意代码。 Zoom 在安全公告中表示： “在 5.2.1716.0 版本之前的 Zoom Node 多媒体路由器（MMR）中存在一项命令注入漏洞，可能允许会议参与者通过网络访问对 MMR 执行远程代码。使用 Zoom Node Meetings Hybrid 或 Meeting Connector 部署的客户，建议其管理员尽快更新至最新可用的 MMR 版本。” 该漏洞由 Zoom 攻防安全团队发现。 受影响产品 该漏洞影响以下产品版本： Node Meeting Connector（MC） 的 MMR 模块 版本 低于 5.2.1716.0 Node Meetings Hybrid（ZMH） 的 MMR 模块 版本 低于 5.2.1716.0 Zoom 表示，目前尚未发现该漏洞在现实环境中被利用的迹象。 相关历史漏洞 2025 年 8 月，Zoom 曾修复另一个严重安全漏洞 CVE-2025-49457（CVSS 评分 9.6），该漏洞存在于 Windows 版 Zoom 客户端中。 攻击者可在无需身份验证的情况下，通过网络访问方式利用该漏洞实现权限提升。 消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：  一项严重的安全漏洞出现在广受欢迎的 Advanced Custom Fields: Extended WordPress 插件中，已使 10 万多个网站 面临被完全接管的风险。 该漏洞编号为 CVE-2025-14533，影响插件 0.9.2.1 及之前版本，CVSS 评分高达 9.8（严重）。 如果未及时修补，未认证的攻击者可以利用用户注册表单中角色处理机制的缺陷，直接获得管理员级别权限。 漏洞成因 该问题源于插件通过自定义表单创建用户的实现方式。网站管理员可使用字段组构建注册或用户资料表单，收集用户名、邮箱、密码以及用户角色等信息。 在正常情况下，新注册用户的角色应受到严格限制，通常只允许诸如“订阅者（subscriber）”等低权限角色。然而，在受影响的版本中，这一控制机制失效，为滥用打开了大门。 Wordfence 分析人员发现，当表单中映射了角色字段时，插件的 insert_user 表单动作并未正确限制注册过程中可分配的角色。 这意味着，攻击者可以提交一个精心构造的请求，即使前端界面限制了可选角色，也能在请求中将自己的角色设置为管理员。 一旦请求被处理，系统就会创建一个拥有完整管理员权限的账户。获得管理权限后，攻击者即可彻底控制受影响的 WordPress 网站。 潜在影响 攻击者在取得管理员权限后，可以： 上传带有后门的恶意插件或主题 篡改网站内容，将访客重定向至钓鱼或恶意网站 植入垃圾内容或 SEO 投毒代码 创建额外的管理员账户以维持长期访问权限 鉴于该插件安装量巨大，且在存在漏洞配置时利用门槛极低，只要网站将相关用户操作表单暴露在公网，就可能遭受严重影响。 修复与风险现状 在漏洞披露时，插件开发方已在 0.9.2.2 版本中发布修复补丁，安全厂商也在防火墙层面提供了针对利用行为的拦截措施。 然而，那些尚未更新插件、且仅依赖应用层防护的网站，仍然是攻击者进行自动化扫描和入侵的理想目标。 漏洞详情一览表 字段 说明 漏洞编号 CVE-2025-14533 插件名称 Advanced Custom Fields: Extended 插件标识 acf-extended 受影响版本 ≤ 0.9.2.1 修复版本 0.9.2.2 漏洞类型 未认证权限提升 攻击向量 恶意用户注册表单提交 触发条件 存在映射了角色字段的公开表单 CVSS 评分 9.8（严重） 受影响安装量 10 万+ 活跃安装 发现者 andrea bocchetti（Wordfence 漏洞悬赏） 权限提升是如何实现的？ 该漏洞的核心在于插件高度灵活的表单系统，其初衷是让站点管理员无需编写代码即可构建自定义的用户管理流程。 在典型配置中，管理员会定义一个字段组，包含用户信息字段，并将其关联到“创建用户”或“更新用户”的表单动作。其中一个字段可以是角色选择器，表面上受到“允许用户角色（Allow User Role）”设置的限制。 但在后台，当表单提交时，插件会在 acfe_module_form_action_user 类中调用 insert_user() 函数。该函数会收集所有提交的数据（包括角色字段），并直接传递给 WordPress 原生的 wp_insert_user() 函数。 问题在于，在受影响版本中，插件并未在后端强制执行字段组中配置的角色限制。前端设置营造了安全假象，但后端逻辑并未遵守这些规则。 因此，只要存在一个包含角色字段的公开表单，未认证攻击者就可以绕过可见的角色选项，在 HTTP 请求中自行指定角色（如 administrator）。由于插件未对该值进行校验或过滤，WordPress 会接受请求并创建一个拥有完整管理员权限的账户。 整个过程无需已有账号、社会工程学手段或密码猜测，直接构成一条通向网站完全失陷的通道。 一旦攻击者以管理员身份进入系统，便拥有与合法站点所有者相同的控制能力，可持续操纵和破坏网站。这使得 CVE-2025-14533 成为在特定配置存在时，导致 WordPress 网站被全面攻陷的高危漏洞。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： TP-Link 已修复一个严重漏洞，该漏洞影响 32 款以上的 VIGI C 和 VIGI InSight 系列摄像头，可能导致监控系统被远程入侵。研究人员发现，互联网上至少有 2,500 台此类设备直接暴露在公网环境中。 此次漏洞被编号为 CVE-2026-0629，CVSS 评分为 8.7（高危），影响 32 款以上的 VIGI C 与 VIGI InSight 摄像头型号。该漏洞允许位于同一局域网内的攻击者滥用密码恢复功能绕过身份认证，直接重置管理员密码，从而完全控制摄像头。 安全公告指出：“VIGI 摄像头本地 Web 管理界面的密码恢复功能存在身份验证绕过问题。攻击者可通过操纵客户端状态，在无需任何验证的情况下重置管理员密码。”公告还称：“攻击者能够获得设备的完整管理权限，进而危及系统配置和网络安全。” TP-Link 的 VIGI 摄像头属于专业视频监控产品，面向商业和企业用户，而非家庭消费级市场。 该漏洞由 Redinent Innovations 的研究人员 Arko Dhar 披露。他在接受 SecurityWeek 采访时表示，攻击者可以远程利用这一漏洞，并且在 2025 年 10 月，他仅针对其中一款型号进行扫描，就发现有超过 2,500 台存在漏洞的摄像头直接暴露在互联网上。他强调，由于只检测了单一型号，实际受影响设备数量可能远高于这一数字。 一旦 TP-Link VIGI 摄像头遭到入侵，可能带来严重后果，包括：实时与历史视频内容被窃取、对人员和场所进行监控与间谍活动、协助实施物理入侵、作为跳板横向渗透企业内网、被纳入僵尸网络用于 DDoS 攻击、篡改监控证据、干扰业务运营，以及因侵犯隐私而引发法律和监管风险。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德国CISPA亥姆霍兹信息安全中心的一个学术团队披露了一个影响AMD处理器的新型硬件漏洞的详细信息。 这个被命名为StackWarp的安全漏洞，可允许拥有主机服务器特权控制权的恶意行为者在机密虚拟机内部运行恶意代码，从而破坏了AMD安全加密虚拟化及安全嵌套分页（SEV-SNP）所提供的完整性保证。该漏洞影响AMD Zen 1至Zen 5架构的处理器。 研究人员Ruiyi Zhang、Tristan Hornetz、Daniel Weber、Fabian Thomas和Michael Schwarz表示：”在SEV-SNP的语境下，该漏洞允许恶意的VM主机操控客户虚拟机的堆栈指针。这使得攻击者能够劫持控制流和数据流，从而在机密虚拟机内部实现远程代码执行和权限提升。” AMD将该漏洞标识为CVE-2025-29943（CVSS v4评分：4.6），并将其定性为中等严重性的不当访问控制漏洞，可能允许具有管理员权限的攻击者更改CPU流水线的配置，导致SEV-SNP客户机内部的堆栈指针损坏。 此问题影响以下产品线： AMD EPYC 7003系列处理器 AMD EPYC 8004系列处理器 AMD EPYC 9004系列处理器 AMD EPYC 9005系列处理器 AMD EPYC Embedded 7003系列处理器 AMD EPYC Embedded 8004系列处理器 AMD EPYC Embedded 9004系列处理器 AMD EPYC Embedded 9005系列处理器 SEV旨在加密受保护虚拟机的内存，并将其与底层虚拟机监控程序隔离。然而，CISPA的新发现表明，通过攻击一种名为”堆栈引擎”的微架构优化（该优化负责加速堆栈操作），可以在不读取虚拟机明文内存的情况下绕过这一保护机制。 Zhang在与thehackernews分享的声明中表示：”该漏洞可以通过虚拟机监控程序侧一个先前未记录的的控制位进行利用。与目标虚拟机并行运行超线程的攻击者可以利用此功能来操控受保护虚拟机内部的堆栈指针位置。” 这反过来又导致程序流被重定向或敏感数据被操纵。StackWarp攻击可用于从SEV安全环境中泄露秘密，并危害基于AMD处理器的云环境中托管的虚拟机。具体来说，该漏洞可用于从单个错误的签名中恢复RSA-2048私钥，从而有效绕过OpenSSH密码身份验证和sudo密码提示，并在虚拟机中获得内核模式代码执行能力。 该芯片制造商已于2025年7月和10月针对此漏洞发布了微码更新。针对EPYC Embedded 8004和9004系列处理器的AGESA补丁计划于2026年4月发布。 此次披露建立在CISPA先前的一项研究基础之上，该研究详细描述了CacheWarp（CVE-2023-20592，CVSS v3评分：6.5），这是一种针对AMD SEV-SNP的软件故障攻击，允许攻击者劫持控制流、侵入加密虚拟机并在虚拟机内部执行权限提升。值得注意的是，两者都是硬件架构攻击。 Zhang表示：”对于SEV-SNP主机的运维人员来说，有具体的步骤需要采取：首先，检查受影响系统上是否启用了超线程。如果已启用，请计划临时关闭对完整性要求特别高的机密虚拟机的超线程功能。同时，应安装硬件供应商提供的任何可用的微码和固件更新。StackWarp再次证明了细微的微架构效应如何能破坏系统级的安全保证。” 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： AWS CodeBuild中的一处关键配置错误使得攻击者得以掌控核心的AWS GitHub代码库，其中包括支撑AWS控制台的JavaScript SDK。 Wiz Research将此问题命名为”CodeBreach”漏洞，它暴露了AWS管理的开源项目所使用的持续集成管道中的弱点。通过利用此漏洞，未经身份验证的攻击者本可将恶意代码注入受信任的代码库，从而开辟一条入侵AWS控制台以及可能每个依赖该控制台的AWS账户的路径。 该漏洞源于CodeBuild处理拉取请求触发器的方式。一个安全过滤器中的微小错误——仅缺少两个字符——导致不受信任的拉取请求能够运行拥有特权的构建任务。由此，攻击者可以访问存储在构建内存中的GitHub凭证，并将访问权限提升至完全控制代码库。 Wiz表示，最敏感的目标是AWS SDK for JavaScript，这是一个广泛使用的库，既支撑着客户应用，也支撑着AWS控制台本身。该公司估计，66%的云环境包含此SDK，这放大了供应链攻击的潜在影响。 微小正则表达式错误如何引发重大风险 暴露的代码库依赖一个ACTOR_ID过滤器来限制可触发构建的GitHub用户。然而，Wiz发现该过滤器是以非锚定的正则表达式实现的。这意味着，包含已批准ID作为子字符串的GitHub用户ID可以绕过此限制。 由于GitHub是按顺序分配数字用户ID的，Wiz研究人员得以预测新的ID何时会”数字超越”受信任维护者的ID。通过自动化创建GitHub应用，他们获取了能够绕过过滤器并触发构建的ID。 Wiz成功演示了对 aws/aws-sdk-js-v3 代码库的接管，通过窃取的凭证获得了管理员级别的访问权限。 同样的弱点存在于至少其他三个AWS代码库中，其中一个链接到某AWS员工的个人账户。 AWS的响应与缓解措施 Wiz于8月25日披露了此发现，AWS在48小时内解决了该问题。该公司锚定了受影响的正则表达式过滤器，撤回了暴露的凭证，并增加了防护措施以防止基于内存的凭证窃取。 AWS还引入了一个新的”拉取请求评论批准”构建门控，默认阻止不受信任的构建。 在一份声明中，该公司表示：”AWS确认没有任何客户环境的机密性或完整性受到影响”，并补充说没有发现恶意利用的证据。 Wiz建议CodeBuild用户采取以下几项防御措施： 阻止不受信任的拉取请求触发特权构建 使用具有最小权限的细粒度GitHub令牌 锚定Webhook过滤器的正则表达式模式   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据Patchstack称，一款名为Modular DS的WordPress插件中一个严重性最高的安全漏洞正在野外被活跃利用。 该漏洞被追踪为CVE-2026-23550（CVSS评分：10.0），被描述为影响插件2.5.1及之前所有版本的未授权权限提升漏洞。该漏洞已在2.5.2版本中修复。该插件拥有超过40,000个有效安装。 “在2.5.1及以下版本中，由于直接路由选择、绕过身份验证机制以及自动以管理员身份登录等多种因素结合，该插件存在权限提升漏洞，” Patchstack表示。 问题根源在于其路由机制，该机制本应将某些敏感路由置于身份验证屏障之后。该插件将其路由暴露在/api/modular-connector/前缀下。 然而，研究发现，每当启用”直接请求”时，通过提供设置为”mo”的”origin”参数和设置为任意值（例如"origin=mo&type=xxx"）的”type”参数，即可绕过此安全层。这将导致请求被视作Modular直接请求。 “因此，一旦网站已连接到Modular（令牌存在/可续订），任何人都可以通过身份验证中间件：传入请求与Modular本身之间没有加密链接，” Patchstack解释道。 “这将暴露多个路由，包括/login/、/server-information/、/manager/和/backup/，这些路由允许执行从远程登录到获取敏感系统或用户数据等多种操作。” 由于此漏洞的存在，未经身份验证的攻击者可利用/login/{modular_request}路由获取管理员访问权限，从而导致权限提升。这可能为攻击者完全入侵网站铺平道路，使其能够引入恶意更改、植入恶意软件或将用户重定向到诈骗网站。 根据该WordPress安全公司分享的详细信息，利用该漏洞的攻击据称首次于2026年1月13日世界标准时间凌晨2点左右被检测到，攻击通过向端点/api/modular-connector/login/发起HTTP GET调用，随后尝试创建管理员用户。 攻击源自以下IP地址： 45.11.89[.]19 185.196.0[.]11 鉴于CVE-2026-23550正被活跃利用，建议插件用户尽快更新至已修复的版本。 “此漏洞突显了当暴露于公共互联网时，对内网请求路径的隐性信任可能有多么危险，” Patchstack指出。 “在此案例中，问题并非由单一错误引起，而是由多个设计选择共同导致：基于URL的路由匹配、宽松的’直接请求’模式、仅基于站点连接状态的身份验证，以及自动回退到管理员账户的登录流程。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文